O malware Capoae instala um plugin backdoor em sites WordPress

Especialistas da Akamai Escreva que o malware Capoae se infiltra em sites WordPress, instala um plugin com um backdoor neles, e então usa o sistema para minerar criptomoeda.

Especialista Larry Cashdollar avisa que a principal tática desse malware está se espalhando por sistemas vulneráveis, bem como quebrar credenciais de administrador não confiáveis. A amostra estudada do malware Keshdollar denominado Capoae.

ASCII

monitor de download

Este malware é entregue a hosts que executam WordPress por meio do plug-in do monitor de download com um backdoor, quais cibercriminosos instalam em sites depois de credenciais de força bruta com sucesso.

O ataque também envolve a implantação de um binário para Golang, em que a carga ofuscada é recuperada por meio de uma solicitação GET, que o plug-in malicioso faz para o domínio do invasor.

O malware também pode descriptografar e executar outras cargas úteis: basicamente, o binário Golang explora várias vulnerabilidades RCE em Oráculo Servidor WebLogic (CVE-2020-14882), NoneCms (CVE-2018-20062) e Jenkins (CVE-2019-1003029 e CVE-2019-1003030) a fim de obter força bruta e não apenas abrir caminho para o sistema e, finalmente, lançar o XMRig mineiro.

Os atacantes não esquecem que precisam agir despercebidos. Para fazer isso, eles usam os caminhos de aparência mais suspeitos no disco e diretórios onde arquivos de sistema reais podem ser encontrados, e também criar um arquivo com um nome aleatório de seis dígitos, que é então copiado para outro local (antes de excluir o malware após a execução).

O uso de múltiplas vulnerabilidades e táticas na campanha Capoae ressalta a seriedade com que os operadores [deste malware] pretendo ganhar uma posição no maior número possível de sistemas. A boa notícia é que os mesmos métodos de segurança que recomendamos para a maioria das organizações ainda funcionam aqui. Não use credenciais fracas ou padrão para servidores ou aplicativos implantados lá. Certifique-se de manter seus aplicativos atualizados com as correções de segurança mais recentes e verifique-as de vez em quandoo especialista resume.

Deixe-me lembrá-lo de que também escrevi que Pesquisadores alertaram sobre o novo ransomware DarkRadiation.

Helga Smith

Sempre me interessei por ciências da computação, especialmente segurança de dados e o tema, que é chamado hoje em dia "ciência de dados", desde minha adolescência. Antes de entrar na equipe de remoção de vírus como editor-chefe, Trabalhei como especialista em segurança cibernética em várias empresas, incluindo um dos contratados da Amazon. Outra experiencia: Eu tenho é professor nas universidades Arden e Reading.

Deixe uma resposta

Este site usa Akismet para reduzir o spam. Saiba como seus dados comentário é processado.

Botão Voltar ao Topo